Asp.net程序中的配置文件是web.config,它放置的aps.net网站的根目录下,也可以根据需要放置在网站的其他文件夹下。虽然它是一个XML格式的文件,但是.net的Web服务器程序是不允许客户机端访问的,因为这个文件中有数据库用户名和密码,及其他网站配置的信息。如果你直接通过通过IE访问web.config文件,将会出现下列信息。
Server Error in '/' Application.
This type of page is not served.
Description: The type of page you have requested is not served because it has been explicitly forbidden. The extension '.config' may be incorrect. Please review the URL below and make sure that it is spelled correctly.
Requested URL: /web.config
Version Information: Microsoft .NET Framework Version:2.0.50727.42; ASP.NET Version:2.0.50727.42
但是,今天突然发现,原来在调试asp.net网页的时候,将备份的web.config文件,重新命名为web.config1,和web.config2。这两个文件中均包含有ACCESS数据库和SQL Server数据库的用户名和密码,SQL SERVER数据库的IP地址也在其中。如果有黑客或者SPAM们,发现这个问题,只需要使用IE下载这两个文件中的一个,便可以获得我网站的用户名和密码。更改web.config的名称,是我调试Web应用程序,最常用的方法。
那么,如何避免这种情况发生呢?你在修改web.config名称的时候,一定不要修改后缀,而只修改文件名web,可以修改为web-2008.config等,这样通过IE访问,或者其他下载软件,.net的web服务器程序是不允许下载和读取.config后缀的文件的,从而保证了你网站的安全。
笑话:五元钱被犯罪团伙绑架了,打电话给百元钞:“喂!你儿子在这里,不想我们撕票就用自己来换他!百元钞想了一下说:“撕吧,撕了你们连5块钱都没有了!
